样本信息

文件名称:hra33.dll或lpk.dll

文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir

大小: 46080 bytes

修改时间: 2017年8月1日, 12:08:36

MD5: A066B5BB41892068E172E5F52B3137F4

SHA1: 658889F4B0F62B6785C1D8786B6A6B5A2268D00C

CRC32: 43256D4C

生成的文件

其中,
hra33.dll为病毒主体
lpkres.dmp为从病毒主体中dump出来的资源文件(也是PE文件)
gsioo.exe为病毒运行过程中自我复制到系统目录下的文件(文件名随机,文件与lpkres.dmp相同)
gsiqoores.dmp为gsioo.exe的资源文件(也是PE文件,代码与hra33.dll类似操作)

SOFTWARE.LOG为病毒运行过程中自我复制到Temp文件夹下的备份(文件名始终是SOFTWARE.LOG,文件与lpkres.dmp相同)

恶意行为

1.创建服务用于自启动

2.注入系统进程执行恶意代码

3.仿lpk.dll注入正常程序

4.访问恶意网站,可以下载执行恶意程序

5.联网受控,根据服务端指令进行不同的恶意行为,可以作为肉鸡进行DDOS攻击

分析记录

hra33.dll资源文件中存在两个RCData资源,资源号分别为101和102,其中101是被病毒改过的,内容为Distribukcj

102是一个能被释放出来的PE文件.

在用户Temp目录下生成的SOFTWARE.LOG文件

lpkres.dmp与SPFTWARE.LOG文件对比,基本相同.只是有2个字节不同

火绒监测到病毒向内网53端口发送数据来穿透防火墙.

系统目录下生成的gsiqoo.exe文件(生成随机名称,下图还有生成rkntic.exe的)

病毒创建的服务,用于自启动

病毒运行系统进程svchost.exe,并掏空这个进程,注入病毒代码运行.

恶意代码

复制移动病毒文件到Temp目录下的代码,并重命名为SOFTWARE.LOG

病毒访问的某恶意网址

IDA载入hra22.dll发现很多Lpk的函数.LoadPE中也是导出了LPK函数,使用了LPK劫持注入技术

DLL入口函数可以看出,此DLL是仿造的系统lpk.dll,导出一样的函数,试程序先加载这个假dll然后自己释放其中包含的病毒资源,然后再去调用真正系统的lpk.dll中的函数.

把病毒资源文件dump出来,分析.

病毒经过初始化,会进入WinMain函数

启动并注入svchost.exe进程代码

读PE文件代码

服务回调的各种操作

修改注册表中ImagePath资源对应的映像文件

线程回调中的操作,获取各种信息发送数据

回调中会接受各种控制命令数据,然后实现控制操作

打开IE,使用IE访问数据

链接网址下载文件

病毒使用iexplorer.exe打开链接.另一个操作